Upgrade to Pro — share decks privately, control downloads, hide ads and more …

2015-ShowNetステージ-RPKI

ShowNet
PRO
July 01, 2015
Technology
0
11

 2015-ShowNetステージ-RPKI

ShowNet
PRO

July 01, 2015
Tweet

More Decks by ShowNet

See All by ShowNet
ShowNetの歩き方 2023
shownet
PRO
0
5
ShowNet2023 Topology
shownet
PRO
0
320
ShowNet2023 External
shownet
PRO
0
20
【shownet.conf_2023】ShowNetのネットワークを解説~最新鋭の技術で作るマルチテナントバックボーン~
shownet
PRO
0
1.4k
【shownet.conf_2023】ローカル5Gサービス提供への挑戦とその知見
shownet
PRO
0
1.4k
【shownet.conf_2023】パフォーマンス計測と詳細分析を組合わせた監視基盤の実現
shownet
PRO
0
1.4k
【shownet.conf_2023】ShowNetを守るセキュリティ〜広帯域化するネットワークを守る新たな挑戦〜
shownet
PRO
0
1.4k
【shownet.conf_2023】ShowNet を効率良く試験するために
shownet
PRO
0
1.6k
【shownet.conf_2023】ShowNet2023 伝送報告
shownet
PRO
0
1.7k

Other Decks in Technology

See All in Technology
MLOpsの「壁」を乗り越える、LINEヤフーの Data Quality as Code
lycorptech_jp
PRO
8
630
データベース02: データベースの概念
trycycle
0
180
Oracle Base Database Service 技術詳細
oracle4engineer
PRO
5
37k
「スニダン」開発組織の構造に込めた意図 ~組織作りはパッションや政治ではない!~
rinchsan
4
620
One engineer company with Ruby on Rails
rstankov
2
440
Azureの基本的な権限管理の勉強会
yhana
1
2.1k
Rustで「プリズモイダル法」を利用して「土量計算」をガチでやる
nokonoko1203
1
310
Autonomous Database Cloud 技術詳細 / adb-s_technical_detail_jp
oracle4engineer
PRO
15
35k
非同期推論システムによるコスト削減と信頼性向上
koki_nishihara
1
360
Além do else! Categorizando Pokemóns com Pattern Matching no JavaScript
wmsbill
0
710
Improve Your Development Workflow with Gemini Code Assist
meteatamel
0
130
Babylon.js JAPAN活動紹介 (2024/4)
limes2018
1
120

Featured

See All Featured
Designing Experiences People Love
moore
136
23k
Imperfection Machines: The Place of Print at Facebook
scottboms
261
12k
The World Runs on Bad Software
bkeepers
PRO
61
6.7k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
660
120k
The Cult of Friendly URLs
andyhume
74
5.7k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
242
1.2M
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
26
2.3k
Navigating Team Friction
lara
179
13k
Into the Great Unknown - MozCon
thekraken
14
1k
WebSockets: Embracing the real-time Web
robhawkes
59
7k
Thoughts on Productivity
jonyablonski
60
3.9k
The Illustrated Children's Guide to Kubernetes
chrisshort
32
46k

Transcript

  1. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team ShowNetが挑戦した これからのルーティング

    セキュリティとしてのRPKI 経路ハイジャックとの戦い

  2. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 2 有名な経路ハイジャック事例

    RPKI – ルーティングセキュリティ YouTube Google (Public DNS) 2008/02/04 パキスタン 広範囲のISPのトラフィックが吸い込まれて YouTubeにアクセスできなくなる 2014/03/15 ベネズエラ&ブラジル 2014/03/29 トルコ DNSサーバを参照している利用者で名前解決が できなくなり通信ができなくなる

  3. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 3 経路ハイジャックによる被害

    通信不能 トラフィック傍受・検閲 データ窃盗

  4. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 4 インターネットの脆弱性

    RPKI – ルーティングセキュリティ だれでも勝手に経路を広告できてしまう IPアドレスの保有者とネットワークの保有者には 直接的な関連付けや権威付けが存在しない 性善説に基づくシステム

  5. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 5 おさらい:インターネットのルーティング

    RPKI – ルーティングセキュリティ 1. インターネットは複数 のネットワーク(AS)が 相互接続することで 構成されている ShowNet AS290 AS a AS b 相互接続 AS c AS d

  6. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 6 おさらい:インターネットのルーティング

    RPKI – ルーティングセキュリティ 1. インターネットは複数 のネットワーク(AS)が 相互接続することで 構成されている 2. それぞれのASが自分の ネットワークの経路を BGPで広告すると… ShowNet AS290 AS a a.0.0.0/16 a.0.0.0/16 Origin AS: a 経路広告 相互接続

  7. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 7 おさらい:インターネットのルーティング

    RPKI – ルーティングセキュリティ 1. インターネットは複数 のネットワーク(AS)が 相互接続することで 構成されている 2. それぞれのASが自分の ネットワークの経路を BGPで広告すると… 3. 経路の広告元にトラ フィックが流れこむ ShowNet AS290 AS a a.0.0.0/16 トラフィック a.0.0.0/16 Origin AS: a 経路広告 相互接続

  8. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 8 RPKI

    – ルーティングセキュリティ 1. 接続相手が複数存在 すると、経路広告は 複数の経路で伝搬する 2. 複数の接続相手から 同じ経路広告を受け 取ると… ShowNet AS290 AS a a.0.0.0/16 おさらい:インターネットのルーティング a.0.0.0/16 Origin AS: a 経路広告 a.0.0.0/16 Origin AS: a 経路広告

  9. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 9 RPKI

    – ルーティングセキュリティ 1. 接続相手が複数存在 すると、経路広告は 複数の経路で伝搬する 2. 複数の接続相手から 同じ経路広告を受け 取ると… 3. 最適な経路を選択する (ベストパスセレクション) ShowNet AS290 AS a a.0.0.0/16 トラフィック おさらい:インターネットのルーティング a.0.0.0/16 Origin AS: a 経路広告 a.0.0.0/16 Origin AS: a 経路広告

  10. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 10 BGP経路ハイジャック

    RPKI – ルーティングセキュリティ ShowNet AS290 AS a a.0.0.0/16 AS x x.0.0.0/24 a.0.0.0/16 Origin AS: a 正しい経路広告

  11. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 11 BGP経路ハイジャック

    RPKI – ルーティングセキュリティ 1. 間違ったASから経路 広告が行われると… ShowNet AS290 AS a a.0.0.0/16 AS x x.0.0.0/24 a.0.0.0/24 Origin AS: x 他のASから強い 経路が誤って 広告されると… 1 a.0.0.0/16 Origin AS: a 正しい経路広告

  12. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 12 BGP経路ハイジャック

    RPKI – ルーティングセキュリティ 1. 間違ったASから経路 広告が行われると… 2. トラフィックが誤った 宛先に吸い込まれる (BGP経路ハイジャック) ShowNet AS290 AS a a.0.0.0/16 AS x x.0.0.0/24 間違った宛先 に トラフィック が 吸い込まれる 2 通信不能 トラフィック傍受 a.0.0.0/24 Origin AS: x 他のASから強い 経路が誤って 広告されると… 1 a.0.0.0/16 Origin AS: a 正しい経路広告

  13. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 13 経路ハイジャックは簡単に起こる

    RPKI – ルーティングセキュリティ 外部接続に使用しているセグメントのアドレスを広告する 内部だけで広告しているはずの経路を外部にも広告する redistribute-connectedによるIXセグメントの広告 IGP経路のredistribute 経路フィルタの設定ミス 経路広告の設定ミス

  14. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 14 インターネットの脆弱性

    RPKI – ルーティングセキュリティ Origin AS Validation 正当なASからの経路広告を証明する仕組みが必要 だれでも勝手に経路を広告できてしまう IPアドレス保有者とAS保有者には 直接的な関連付けや権威付けが存在しない

  15. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 15 Mis-Originationって言ってください

    RPKI – ルーティングセキュリティ 経路ハイジャック Mis-Origination

  16. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 16 RPKI

    とは? RPKI – ルーティングセキュリティ RIR (APNIC) NIR (JPNIC) アドレス 保有者 (ShowNet) 署名 署名 45.0.0.0/16-24: AS290 45.1.0.0/16-24: AS131154 ROA 署名 Trust Anchor IPアドレスの保有者が、そのアドレスを広告する Origin ASを指定できる仕組み アドレス管理者 アドレス利用者 アドレス配布者 アドレスとASの対応表 公開鍵基盤(PKIの)技術を用いることで、 アドレス資源(Resource)の保有者を証明する技術 (Route Origin Authorization)

  17. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 17 RPKIによるOrigin

    Validation RPKI – ルーティングセキュリティ 1. 受信した経路が正しい Originから広告されて いるか、ROAを参照し て検証する 2. 検証結果に基いて経路 制御を行う ➢ 経路のDrop ➢ 経路の優先度制御 ShowNet AS290 AS a a.0.0.0/16 AS x x.0.0.0/24 ROA キャッシュ a.0.0.0/16 OriginAS: a a.0.0.0/24 OriginAS: x Invalid Valid a.0.0.0/16-24: AS a ROA 検証 検証

  18. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 18 RPKIで可能なセキュリティ

    RPKI – ルーティングセキュリティ ➤ 自分のASのトラフィックが不正な経路広告元に 吸い込まれるのを防ぐ ➤ 他のASに不正な経路を伝搬させない ➤ Origin Validationを行っている他のASで 自分の経路をハイジャックされにくくする ROAを登録することで… Origin Validationすることで…

  19. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 19 ShowNetにおけるRPKIの取り組み

    RPKI – ルーティングセキュリティ 1. ライブネットワークの全ての対外接続点で 全ての経路に対してRPKIによるOrigin Validationを実施し、Mis-Origin経路から トラフィックを守るシナリオを実演 2. Validation結果に基づくトラフィック エンジニアリングの可能性について 相互接続実証実験を実施

  20. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 20 RPKI相互接続実証実験シナリオ

    RPKI – ルーティングセキュリティ AS131154 AS290 RPKI対応 eBGPルータ ROA キャッシュサーバ Huawei NE5000E Cisco ASR9900 Juniper MX480 Mis-Origin経路 広告ルータ AS18131 ルートリフレクタ ShowNet JPNIC MF 正しい経路 45.1.0.0/16 2001:3e8:1::/48 誤った強い経路 45.1.20X.0/24 2001:3e8:1:61X::/64 正しい宛先 45.1.20X.1/24 2001:3e8:1:61X::1/64

  21. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 21 RPKI相互接続実証実験シナリオ

    RPKI – ルーティングセキュリティ AS131154 AS290 RPKI対応 eBGPルータ ROA キャッシュサーバ Huawei NE5000E Cisco ASR9900 Juniper MX480 Mis-Origin経路 広告ルータ AS18131 ルートリフレクタ ShowNet JPNIC MF 1 2 3 正しい経路 45.1.0.0/16 2001:3e8:1::/48 誤った強い経路 45.1.20X.0/24 2001:3e8:1:61X::/64 正しい宛先 45.1.20X.1/24 2001:3e8:1:61X::1/64

  22. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 22 RPKI相互接続実証実験シナリオ

    RPKI – ルーティングセキュリティ AS131154 AS290 RPKI対応 eBGPルータ ROA キャッシュサーバ Huawei NE5000E Cisco ASR9900 Juniper MX480 Mis-Origin経路 広告ルータ AS18131 ルートリフレクタ ShowNet JPNIC MF 1 2 3 間違った宛先 に トラフィック が 吸い込まれる 正しい経路 45.1.0.0/16 2001:3e8:1::/48 誤った強い経路 45.1.20X.0/24 2001:3e8:1:61X::/64 正しい宛先 45.1.20X.1/24 2001:3e8:1:61X::1/64

  23. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 23 Mis-Origin経路に惑わされないために

    RPKI – ルーティングセキュリティ 自身の経路のROAを発行しておく RPKI/Origin Validationを有効にしておく Mis-OriginされるAS (AS131154) Mis-Origin経路を受け取るAS (AS290) 45.1.0.0/16-24: AS131154 ROA

  24. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 24 RPKI相互接続実証実験シナリオ

    RPKI – ルーティングセキュリティ AS131154 AS290 RPKI対応 eBGPルータ ROA キャッシュサーバ Huawei NE5000E Cisco ASR9900 Juniper MX480 Mis-Origin経路 広告ルータ AS18131 ルートリフレクタ ShowNet JPNIC MF 1 2 3 Validな経路を 優先制御 正しい経路 45.1.0.0/16 2001:3e8:1::/48 誤った強い経路 45.1.20X.0/24 2001:3e8:1:61X::/64 正しい宛先 45.1.20X.1/24 2001:3e8:1:61X::1/64 Origin Validation発動!

  25. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 25 RPKI相互接続実証実験シナリオ

    RPKI – ルーティングセキュリティ AS131154 AS290 RPKI対応 eBGPルータ ROA キャッシュサーバ Huawei NE5000E Cisco ASR9900 Juniper MX480 Mis-Origin経路 広告ルータ AS18131 ルートリフレクタ ShowNet JPNIC MF 1 2 3 Validな経路を 優先制御 正しい経路 45.1.0.0/16 2001:3e8:1::/48 誤った強い経路 45.1.20X.0/24 2001:3e8:1:61X::/64 正しい宛先 45.1.20X.1/24 2001:3e8:1:61X::1/64 トラフィックが 正しく流れる Origin Validation発動!

  26. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 26 全対外接続でOrigin

    Validationを実施 RPKI – ルーティングセキュリティ RPKI対応 eBGPルータ Huawei NE5000E Cisco ASR9900 Juniper MX480 ルートリフレクタ Cisco CRS4/S KDDI JPIX DIXIE WIDE OCN ntt.net IIJ NTTCom JGN JPNAP Cloud AS AS18131

  27. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 27 ShowNetでのValidation結果の統計

    RPKI – ルーティングセキュリティ 31585; 6% 530527; 94% 2688; 0% valid unknown invalid 着実に増えてます

  28. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 28 相互接続実証実験の結果

    Origin Validationは動作する! Validation結果に基づいたトラフィック エンジニアリングは運用できる! Validation結果の伝搬(シグナリング)方式には まだベンダによって差異があるので標準化が必要

  29. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team ありがとうございました おうちに帰ったらすぐに

    ROAを発行して RPKIを動かそう!!